Go to Top

Les attaques Ransomwares : tout ce qu’il faut savoir

Depuis quelques années, le cybercrime s’est accru à un taux alarmant. Malheureusement, les avancées technologiques sont étroitement liées à la hausse du cybercrime.

Selon une étude en cyber sécurité, 43% des entreprises ont été victimes d’une brèche dans leur système en 2018. L’année passée, l’ état de Californie a perdu plus de 214 millions de dollars à cause du cybercrime.

Il y a peu, nous avions écrit un article concernant le dernier hack ayant fait la une des journaux, Collection #1.Selon les estimations de l’année dernière, le Cybercrime a généré au moins 1.5 milliards de dollars, ce n’est pas surprenant qu’il devienne une préoccupation majeure.

Il existe de nombreuses formes de cybercrime, des tentatives de phishing aux fraudes internet en passant par le cyberstalking. Dans cet article, nous allons nous concentrer sur les ransomwares.

Qu’est-ce qu’un ransomware ?

Un ransomware est un logiciel malveillant conçu pour bloquer l’accès à un ordinateur ou publier les données personnelles de la victime en ligne. Le criminel demande alors une rançon à la victime, promettant – sans pour autant toujours respecter sa promesse – de restaurer l’accès aux données une fois payé.

Autour des années 1980, de nombreux ransomwares ont surgi comme les Trojan, mais la vraie opportunité pour les cybercriminels est apparue avec l’introduction du Bitcoin. Cette cryptomonnaie permet au cybercriminel de collecter facilement l’argent de ses victimes sans passer par les moyens traditionnels.

D’où viennent les ransomwares ?

Les ransomwares sont créés par des arnaqueurs experts en programmation. Les ransomwares peuvent s’introduire dans vos ordinateurs via une pièce jointe d’email, votre réseau ou via votre navigateur internet si vous visitez un site qui a été infecté avec ce type de logiciel malveillant.

Comment marchent les ransomwares ?

Phishing

Le mode de distribution de ransomwares le plus rependu est le “ phishing” – des pièces jointes qui arrivent dans la boite mail de la victime, donnant l’illusion d’être un fichier de confiance.

Selon l’étude de Trend Micro, une société spécialisée dans la sécurité des logiciels, 91% des cyber attaques et des brèches de données commencent avec un mail phishing.

Une fois la pièce jointe téléchargée et ouverte, le malware peut prendre le contrôle de l’ordinateur de la victime, cryptant ses fichiers. Quand cela arrive, la seule façon de déchiffrer les fichiers est via une clé mathématique connue uniquement de l’attaquant.

Il existe aussi des cas où le malware vas diffuser un message déclarant que le système d’exploitation de la victime (Windows) est bloqué. L’utilisateur est alors encouragé à appeler un numéro de téléphone de “ Microsoft” et entrer 6 digicodes pour réactiver le système. Le message déclare que l’appel est gratuit, mais ce n’est pas vrai.

Lorsque la victime est au téléphone avec le faux “Microsoft”, l’utilisateur paie des frais d’appel longue distance.

(Exemple d’un mail de phishing – http://www.malwarehelp.org/screenshots-of-phishing-email-messages.html)

 

Les Doxwares

Un autre malware est appelé Leakware (logiciel de fuite) ou doxware. C’est quand l’attaquant vas menacer l’utilisateur de diffuser des données sensibles présent sur le disque dur de la victime à moins de payer une rançon. Visant souvent les emails et les documents Word, il y a eu de nombreuses variantes où des messages confidentiels, des images et la liste de contact des utilisateurs de mobiles ont été diffusés.

Les Doxwares sont connus pour être les ransomwares les plus efficaces – en termes de gain d’argent provenant de la victime. Avec les ransomwares, vous pouvez gérer des sauvegardes séparées des données qui ne sont plus accessibles, mais avec les Doxwares, une fois que l’attaquant possède des informations confidentielles, que la victime ne veut pas voir diffusé au public, il est facile de lui faire payer la rançon.

Il n’y a pas que la rançon qui coûte cher !

Vous pensiez que payer une rançon pour regagner l’accès à vos fichiers était la pire des choses qui pouvais vous arriver ? Mais qu’en est-il en comparaison avec les vrais coûts de dégâts liés à cette attaque ? Notamment :

  • L’endommagement, la destruction (ou perte) de données.
  • La perte de productivité.
  • La perturbation des affaires post-attaque.
  • Enquête/ investigation.
  • Restauration et suppression des fichiers ou système pris en otage.
  • Impact sur la réputation de l’entreprise.
  • Formations des employés face à ce type d’attaques.

Quand vous prenez tous ces éléments en compte, ce n’est pas une surprise de découvrir que les ransomwares ont occasionné des dégâts estimés à 11,5 milliards de dollars, avec une attaque recensée toutes les 14 secondes cette année, contre toutes les 40 secondes l’année dernière.

Payer ou ne pas payer, telle est la question

Quand vous parler avec des experts en cybercrime, la plupart vous dirons de ne surtout pas payer les attaquant, car cela va les aider à créer plus de ransomwares, en les finançant.

Cependant, beaucoup d’organisations vont contre ce conseil étant donné la valeur des données chiffrées en comparaison à celle de la rançon demandée. L’année dernière, aux Etats-Unis, 45% des entreprises touchées par un ransomware ont payé leurs attaquants. Mais pourquoi ?!

Bien que refuser de payer les ransomwares est suggéré habituellement, refuser de payer n’est pas forcément la meilleure option pour les affaires. Surtout quand il y a une chance que l’entreprise perde définitivement l’accès à un dossier vital, s’exposent à des amendes de la part des organismes de réglementation ou cessent complètement leurs activités.

Le choix entre payer une rançon relativement modeste et conserver son activité et refuser de payer pour aider les autres entreprises à ne pas être touchées (car nous ne finançons pas les ransomwares), est très vite fait pour la plupart des entreprises.

Dans certaines situations, la rançon demandée est souvent très rentable pour l’attaquant, mais relativement faible pour l’organisme victime de l’attaque, en comparaison avec la perte de ses données. Des réductions sont même parfois offertes si les victimes payent dans un certain délai, comme 3 jours.

Avec cela en tête, certaines compagnies font des réserves de bitcoins dédiées au paiement des rançons. Plus particulièrement aux Royaume-Unis, où les entreprises sont plus enclines à payer les rançons. Selon Gotham Sharma, directeur général au groupe de consultants Exeltek, « Environ un tiers des entreprises britanniques de moyenne taille ont rapporté avoir des bitcoins en main pour répondre aux cas d’urgences liés aux ransomwares, en cas de dernier recours.

Que faire si je suis infecté par un ransomware ?

Si vous êtes infecté par un ransomware, vous devez d’abord déterminer le type de ransomware qui vous attaque. Vous ne pouvez pas passer au travers du message du ransomware sur votre écran? Alors vous avez très certainement été infecté par un ransomware screen locking. Si vous pouvez naviguer à travers vos applications, mais sans pouvoir ouvrir vos fichiers, films etc… vous avez été touché par un ransomware crypteur, c’est le pire des deux. Si vous pouvez naviguer dans votre système et lire tous vos fichiers, alors vous avez été touché par un fake (un faux ransomware) qui essaie juste de vous effrayer pour vous faire payer.

Il y a un excellent blog qui explique en détails ce qu’il faut faire si vous êtes touchés par un ransomware crypteur ou screen locking ici

Comment éviter les ransomwares ?

  • Assurez-vous d’avoir des sauvegardes de tous vos fichiers (des backups). S’il arrive quoique ce soit, faites une restauration de vos fichiers à partir de cette sauvegarde. C’est la façon la plus rapide de regagner l’accès à vos données,
  • Quand vous répondez aux emails, a des appels téléphoniques non sollicités, des textos ou messages instantanés, ne donnez aucune information personnelle. Les Phishers peuvent essayer de piéger les employés en leur faisant installer des malwares ou accéder à des données confidentielles en vous faisant croire qu’ils appartiennent à votre département informatique,
  • Assurez-vous d’avoir un antivirus fiable et un pare-feu. Il y a énormément de faux logiciels sur le marché donc il est vital que votre antivirus et pare-feu soient assez fort pour vous protéger des malwares,
  • Scannez et filtrez régulièrement vos mails. Chaque mail entrant devrait être scanné en connaissances des menaces actuelles, bloquez également toute pièce jointe qui peux vous poser des problèmes,
  • Si vous voyagez pour le travail, informez votre département informatique au préalable, surtout si vous pensez utiliser un réseau wi-fi public. Assurez-vous d’avoir un VPN de confiance si vous devez accéder à un wi-fi public,
  • Assurez-vous d’avoir tous vos logiciels mis à jour. Aussi bien le système d’exploitation que l’explorateur internet et vos outils ou plug-ins.

Ontrack et les Ransomwares

Chez Ontrack, nous traquons constamment 271 différents types de Ransomwares. Les Ransomwares évoluent en permanence, donc nous voulons nous assurer de surveiller et étudier les derniers changements et avancées. Etudier les ransomwares qui change en permanence nous permet d’augmenter nos chances de récupérer des fichiers perdus à la suite d’une attaque.

Nous avons actuellement des moyens de décryptage de 138 ransomwares. Il y a quelques années, nous en avions 6, nous sommes bien remontés !

Quand vous avez un problème d’accès à vos données, il est toujours préférable de faire appel à un expert. Si vous vous faites attaquer par un ransomware contactez un expert comme Ontrack, qui peut potentiellement vous donner la possibilité de récupérer vos fichiers.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *